Linux: Synonymum pro bezpečnost?

Nejčastější odpovědí na otázku „Proč používáte Linux?“ je „protože je bezpečnější“ (samozřejmě pokud ale nepočítám odpověď „je lepší“, která není moc objektivním argumentem). Hlavně v poslední době, kdy se (konečně) začalo vážně mluvit o bezpečnosti, bych řekl, že se tenhle - dalo by se říci pozitivní - předsudek zažil. Ale je tomu opravdu tak? Je Linux opravdu bezpečný?
Cílem tohoto článku není porovnat (po bezpečnostní stránce) OS Linux s operačními systémy společnosti Microsoft (především jejich serverovými verzemi), neboť by bylo velmi obtížné objektivně ohodnotit výhody a nevýhody obou soupeřů. Budu zde zmiňovat pouze bezpečnost OS Linux s občasným přihlédnutím na některé systémy z rodiny UNIXU a rodiny OS Windows. Nebudu se zde také zabývat konkrétním zabezpečením („armoringem“) Linuxu (snad někdy příště), ale zmíním především několik událostí, které se na linuxové scéně udály za poslední rok a které víceméně zpochybňují bezpečnost Linuxu.

Bezpečnost jakéhokoliv OS není ovlivněna pouze systémem samotným (tzn. jeho jádrem - kernelem), ale především jeho softwarovým vybavením a také chybami v tzv. neaplikační vrstvě (myslím tím např. chyby a nedostatky v protokolech IP, např. IPv4, nebo chyba v základní aritmetice šifrování).

První velmi vážnou „dírou“, která se objevila přibližně v březnu 2003 byla chyba v syscallu (neboli v systémovém volání) ptrace v samotném kernelu Linuxu 2.2 až 2.4 a umožňovala velmi snadno získat práva superuživatele root. Tato chyba byla zneužitelná lokálně, což znamená, že pokud chtěl útočník kompromitovat daný systém, musel zde mít přístup na shell. Velmi brzy (prakticky ihned) po upozornění na tuto chybu, se objevily první funkční exploity (programy, které zneužívají chyby v jiných programech s cílem vykonat určité akce) a prakticky každý si mohl vyzkoušet, zda je právě jeho systém je kompromitovatelný. Samozřejmě byl k dispozici opravný patch. Při opravách chyb v kernelu se musí systém restartovat a tak problém nastal pro ty, kteří musí mít svoje servery neustále online nebo o nutnosti restartu nevědí. Otázkou tedy je, kolik adminů to neví a tudíž kolik strojů je stále náchylných k této chybě?

Minimálně jeden významný server v Čechách nebyl ještě donedávna vůči této chybě imunní a to se mu stalo osudným. Možná víte, o jaký server se jedná – je jím www.root.cz , největší český server věnující se Linuxu a Open Source vůbec. Tento server byl úspěšně napaden neznámým crackerem, kterému se kromě změnění webových stránek (kopie), podařilo zřejmě získat práva superuživatele root. Vše je zahaleno tajemnou rouškou, protože není stále jasné (a správci root.cz objasnění moc nepomáhají), jak ke kompromitaci došlo. Údajně se útočníci dostali do systému přes neupřesněnou chybu v PHP a k získání rootovských práv došlo přes výše zmiňovanou kernelovou chybu v syscallu ptrace. Trochu mi není jasné, proč tato chyba nebyla opravena už dávno - že by něco bránilo v rebootování serveru a nebo to byla chyba lidského faktoru?

Když už jsme u těch hacků velkých českých serverů, tak určitě stojí za zmínku úspěšné napadení serveru zabývající se hlavně bezpečností www.underground.cz (informace, kopie napadených stránek). V tomto případě se útočník proboural do systému přes chybu v implementaci šifrování SSL (Doporučení firmy RedHat). V tomto případě bylo, po sehnání či napsání exploitu, zneužití chyby a získání lokálního přístupu s právy UID, pod kterým běžel webový server, dětskou hrou.

Dalším jevem, který poukazuje na bezpečnosti Linuxu je to, že se v poslední době objevují různé statistiky, kde se srovnává například procento hacknutých serverů na různých operačních systémech. A řekl bych, že se procento úspěšných napadení linuxových serverů rapidně zvyšuje - on se ale také prudce zvyšuje počet úspěšných napadení obecně. Nedávno se objevila informace, že počet linuxových exploitů převýšil počet exploitů na produkty Microsoftu, což už také o něčem vypovídá. Chyb se zvláště v poslední době objevilo opravdu hodně a Open Source software, často dodávaný se samotnou distribucí Linuxu, nestál pozadu - vzpomeňme na chyby v nameserveru BIND, ve sdílení Samba, či malé méně významné chyby v programech jako snort (detekce průniků), ethereal (sniffer) ci cdrecord (konsolová utilita pro vypalováni CD).

Stává se Linux opravdu pro nás nebezpečným? Je tak „neprůstřelný“, jak si většina lidí myslí? Nebo jsou to pouze zkreslené statistiky, které poškozují Linux? Bohužel to, že byl úspěšně napaden nejeden server zabývající se Linuxem či bezpečností (kde je předpoklad, že tomu zřejmě správci asi „trochu rozumí“), také o něčem svědčí. Navíc hacknutí root.cz byla pravděpodobně blesková reakce na reklamní bannery linuxáři nenáviděného systému, které se na root.cz objevily, z čehož vyplývá, že útočníci měli buď vše naplánováno předem (aby v případě potřeby mohli útok provést) nebo si prostě sedli a nedalo jim zas tak velkou práci se tam dostat. Ještě je tu jedna varianta a to ta, že mají pracovníci tohoto serveru mezi sebou škůdce.

Abych alespoň okrajově obhájil Linux, zmíním se o problematice linuxových virů. To je právě (zatím) jeden z velkých kladů Linuxu - rozhodně se vám na něm nerozšíří kdejaké viry typu makrovirů nebo VBA červů, viz např. poslední epidemie červa BugBear na OS Windows… A to i přes to, že chyba v ptrace byla využitelná prakticky na všech v té době aktuálních verzí Linuxu (nebo lépe řečeno jader Linuxu) a vznikalo tak pro tyto škůdce vhodné prostředí. Nicméně nevím o žádném pokusu tohle zrealizovat. Možná by se (nebo jenom se ?!?) neuchytil proto, že Linux přeci jenom stále nevyužívá takové procento běžných uživatelů (BFU:)), kteří otevřou všechno, co jim přijde emailem.

Na závěr bych chtěl dodat, že tímto článkem rozhodně nechci nijak snižovat kvalitu tohoto výborného systému, který se pro své vlastnosti (které si rozebereme někdy příště) stává vysoce výkonným a efektivním nástrojem – snažil jsem se pouze upozornit na to, že „Nikdo není dokonalý“.

Témata článku: Linux, Bezpečnost, Chyba, Zneužitelný člověk, Lin, Root, Nebezpečná událost, Microsoft VBA, Linuxový systém, Samba, Velká bezpečnost, Syn, Opravný patch

Určitě si přečtěte

Velká podzimní aktualizace Windows 10 je tady: Co přináší Fall Creators Update

Velká podzimní aktualizace Windows 10 je tady: Co přináší Fall Creators Update

** Po půl roce je tu další aktualizace Windows ** A opět přináší hlavně hromadu drobných kosmetických vylepšení ** Podívali jsme se na ty nejzajímavější

17.  10.  2017 | Jakub Čížek | 175

Budoucností Windows 10 je Fluent Design. Takto bude jednou vypadat celý systém

Budoucností Windows 10 je Fluent Design. Takto bude jednou vypadat celý systém

** Fluent Design je vzhled, do kterého postupně Microsoft převleče celý systém ** Staví na průhlednosti a velkých plochách ** Do Windows 10 se z části dostane už zítra při vydání podzimní aktualizace

16.  10.  2017 | Stanislav Janů | 154

Nejlepší optické iluze: Z toho vám půjde hlava kolem

Nejlepší optické iluze: Z toho vám půjde hlava kolem

** Mozek se nechá snadno ošálit, a to mnoha způsoby ** Podívejte se na několik nejlepších optických iluzí ** Iluze dokazují, že vnímání reality může být značně zkreslené

16.  10.  2017 | Vojtěch Malý


Aktuální číslo časopisu Computer

Nový seriál o programování elektroniky

Otestovali jsme 17 bezdrátových sluchátek

Jak na nákup vánočních dárků ze zahraničí

4 tankové tiskárny v přímém souboji